Documento_completo pdf-PDFA

Vista previa del material en texto

Facultad de Informática
Tesis Doctoral
Título
Estrategia de Ciberseguridad distribuida, aplicando el concepto de Operación
de Inteligencia
Carrera
Doctorado en Ciencias Informáticas
Tesista
Ing. Ignacio Martín Gallardo Urbini
Directora
Dra. Patricia Bazán
Asesores Científicos
Mg. Paula Venosa, Mg. Nicolás del Rio
La Plata, Argentina. Año 2021
1
Índice
Capítulo 1 - Presentación de Tesis 5
1.1 Resumen 5
1.2 Introducción 7
1.3 Objetivos y Aportes 10
1.4 Estado del Arte 11
1.5 Temas de Investigación y Desarrollo 15
1.6 Antecedentes de la Dirección y el Tesista 18
Capítulo 2 - Ciberseguridad, Ciberdefensa y Seguridad en Teleinformática 21
2.1 Introducción Histórica 21
2.2 Definición de Ciberespacio 23
2.3 Definición de Seguridad en Teleinformática 24
2.4 Definición de Ciberseguridad 24
2.5 Definición de Ciberdefensa 25
2.6 Problemas de los Sistemas Teleinformáticos 26
2.7 Amenazas a la Seguridad 26
2.8 Autoría de un Atentado en el Ciberespacio 28
2.9 Bases de la Seguridad 30
2.10 Procedimientos de Seguridad en Sistemas Teleinformáticos 30
2.11 Vulnerabilidad 31
2.12 OWASP Top Ten 32
2.13 Inyecciones 36
2.13.1 Cross-Site Scripting - XSS 37
2.13.2 Log4Shell 39
2.14 Consideraciones Generales 41
Capítulo 3 - Sistemas de Detección de Intrusos y/o Anomalías 43
3.1 Introducción Histórica 43
3.2 Definición de IDS o Sistema de Detección de Intrusos 45
3.2.1 Fuente de Información 46
3.2.2 Tipo de análisis 48
3.2.3 Tipo de detección 49
3.2.4 Tipo de respuesta 50
3.3 Honeypots 51
3.4 Detección de Anomalías 53
3.4.1 Naturaleza de los datos 58
3.4.2 Disponibilidad de los datos 59
2
3.4.3 Resultado o Salida 61
3.4.4 Métricas 62
3.5 Consideraciones Generales 69
Capítulo 4 - Inteligencia 73
4.1 Introducción Histórica 73
4.2 Definición de Inteligencia 75
4.3 Definición de Información 76
4.4 Áreas de la Inteligencia 76
4.5 Clasificación de la Inteligencia 77
4.5.1 Nivel Operacional 77
4.5.2 Nivel Estratégico 78
4.5.3 Nivel Táctico 78
4.5.4 Pertinencia Básica 78
4.5.5 Pertinencia Actual 79
4.5.6 Pertinencia Predictiva 79
4.6 Características de la producción de Inteligencia 80
4.7 Ciclo de Inteligencia 82
4.7.1 Fase 0 - Planeamiento y Dirección 82
4.7.2 Fase 1 - Recolección 82
4.7.3 Fase 2 - Procesamiento y Análisis 83
4.7.4 Fase 3 - Difusión 84
4.7.5 Fase 4 - Retroalimentación 85
4.8 Inteligencia Aplicada al Ciberespacio 86
4.9 Consideraciones Generales 87
Capítulo 5 - Arquitectura Propuesta 89
5.1 Consideraciones Iniciales 89
5.2 Fase 0 - Planificación y Dirección 91
5.3 Fase 1 - Recolección 92
5.4 Fase 2 - Procesamiento y Análisis 95
5.5 Fase 3 - Difusión 97
5.6 Fase 4 - Retro-Retroalimentación 98
5.7 Consideraciones Finales 98
Capítulo 6 - Puesta en escena y Demostración experimental 102
6.1 Consideraciones Iniciales 102
6.2 Ejecución de la Operación 111
6.3 Prueba Compleja 124
6.5 Prueba Adicional 126
6.4 Consideraciones Finales 127
3
Conclusiones 129
Trabajos a Futuro 132
Bibliografía y Referencias 133
4
Capítulo 1 - Presentación de Tesis
1.1 Resumen
La evolución tecnológica de los últimos años en el campo electrónico y digital, ha
transformado la industria, el comercio, el sector servicios y doméstico, el ámbito militar y
nacional, generando una mayor demanda de transacciones ante la necesidad de interactuar
por intermedio de redes de computadoras, almacenar información, administrar sistemas
críticos y, en los últimos años, sostener la plataforma que habilita el trabajo remoto y las
gestiones de trámites y servicios on line.
En 1983, Fred Cohen, un estudiante graduado de la Universidad del Sur de California,
ofrece una visión profética del futuro digital cuando demuestra un virus informático
durante un seminario de seguridad en la Universidad Lehigh de Pensilvania. Cohen insertó
su código de prueba de concepto en un comando de Unix y, a los cinco minutos de lanzarlo
en una computadora central, obtuvo el control del sistema. En otras cuatro
demostraciones, el código logró tomar el control en cuestión de segundos, evitando todos
los mecanismos de seguridad vigentes en ese momento. Este programa de autorreplicación
fue comparado con un virus biológico, acuñando así el término; donde era la primera vez
que se definia la palabra “virus” aplicado a la computación, esta acepción resultaba
extraña ya que el virus que por entonces estaba en boca de todos era aislado unos días
para evitar su transmisión. Este, fue el primer paso para que un cuarto de siglo después,
los virus informáticos se conviertan en una pandemia para la que no hay vacuna. Y desde
ese momento, los ataques cibernéticos masivos a empresas y estados acapararon las
noticias de todo el mundo hasta estos últimos años, poniendo en evidencia que todos están
expuestos y pueden ser más vulnerables de lo que realmente se cree.
La primera responsabilidad de cualquier gobierno es garantizar la seguridad, en
cualquier contexto, ámbito o dimensión. Dado que las amenazas hacia la integridad y
supervivencia de las naciones tienen desde un principio naturaleza militar,
tradicionalmente, la seguridad de estas sociedades fue gestionada meramente por el sector
de la defensa. No obstante, el constante cambio en el contexto, el surgimiento de nuevos
riesgos, la naturaleza heterogénea de los factores que rodean al mundo, ha motivado a
muchos estados a llevar a cabo una revisión de raíz y transformación de políticas de
defensa y seguridad[119]. Por lo tanto, la invención de instituciones u organismos que
velan por la seguridad en un marco de conflictos heterogéneos entre los estados, toma un
rol sustancial en el campo de las relaciones internacionales[116].
Una de las opciones para abordar la problemática planteada utilizada con más
frecuencia, fue la creación de organismos a cargo de la seguridad denominados servicios de
inteligencia. Estos servicios, fueron apareciendo o formándose en todo lugar, entidad,
5
sociedad o estado que se ha topado con el requerimiento de proteger sus intereses ante
potenciales amenazas, en donde el objetivo principal es proporcionar a los gobiernos por
medio de procedimientos no convencionales información valiosa y seguridad integral, para
así poder contribuir a que se ejecute la mejor decisión previniendo riesgos o disminuyendo
el impacto de los mismos[116].
El accionar de los servicios de inteligencia responde a distintas instituciones, es decir, no
están sujetas a una sola, pues varía de acuerdo a los intereses, capacidad y legislación de
cada país. Además, los servicios de inteligencia sólo son legítimos cuando sus poderes
excepcionales derivan de una legislación adecuada. Regular dicha actividad, resulta un
elemento imprescindible para los estados. Es así como el accionar de los servicios de
inteligencia, de igual manera, comprende un ciclo de actividades distribuidas llamada
operación de inteligencia que contiene las siguientes fases: 1- Dirección y Planificación
(donde se definen los requerimientos y recursos a utilizar), 2- Recolección (donde se
recauda todos los datos e información necesaria para cubrir los requerimientos), 3-
Procesamiento, Análisis y Producción (donde se produce la inteligencia requerida) y 4-
Difusión (donde se da aviso a los tomadores de decisiones)[116].
En 1956, John McCarthy, Marvin Minsky y Claude Shannon en la Conferencia
Dartmouth, introdujeron un concepto muy popular llamado inteligencia artificial;
utilizado para describir la capacidad de las máquinas de decidir por sí mismas, refiriéndose
principalmente a niveles de cómputo muy avanzados. En este sentido, se habla de un
servicio de inteligencia artificial cuando se utilizan algoritmos que actúan por detección
automática y son capaces de clasificar e interpretar una intencionalidad humana de
manera desasistida de personas. La inteligencia artificial busca entonces, generar
inteligencia real, crear métodos de aprendizaje de forma autónoma, como lo haría un
humano. El desarrollo de un caso de operación de inteligencia para detectar fraudes en
transacciones virtuales, podría comenzar con el clienteproveyendo los datos que ha
recolectado de sus transacciones, y el módulo de inteligencia introduce estos datos para
entrenar un algoritmo, luego se ejecutan simulaciones, cambiando la ponderación de
distintas variables y calibrando los resultados cada vez que un cliente intenta hacer un
fraude. Para ello se usan modelos de aprendizaje automático combinados con big data , lo
que permite “entrenar” a los sistemas en tomar decisiones de manera inteligente y
autónoma, para bloquear nuevas amenazas[117].
El objetivo de esta tesis entonces, es lograr un punto de convergencia conceptual entre
Ciberseguridad, Detección de Anomalias, Aprendizaje Automático y conceptos de
procedimientos dentro de las operaciones utilizadas por los Servicios de Inteligencia
Gubernamentales para finalmente crear y construir un framework compuesto por módulos
de aplicación práctica para la defensa dinámica ante amenazas denominado “Estrategia
de Ciberseguridad distribuida, aplicando el concepto de Operación de Inteligencia”.
6
1.2 Introducción
El origen de la inteligencia, como producto que resulta de la búsqueda, registro, análisis,
evaluación, integración, comparación e interpretación de la información disponible que
concierne a un decisor, ha ido estrechamente ligada al desarrollo de los pueblos, imperios y
posteriormente de los estados. La inteligencia constituye un producto para reducir la
incertidumbre que normalmente aparece en todo proceso de toma de decisiones en el nivel
de decisión estratégica, o aquella decisión dentro de un contexto de conflicto, donde una
persona razona y especula acerca de los fines y medios propios y ajenos, partiendo de la
situación que se caracteriza por una gran incertidumbre, máxima abstracción, poco
estructurada y sin que la persona tenga bien determinado el o los objetivos propios, y tan
solo reconoce sus propios valores y los hechos que percibe de esa situación. En este nivel de
decisiones, la inteligencia operacional es un producto de gran utilidad, porque con la
aplicación de la misma, la persona puede reducir la incertidumbre y la complejidad de las
situaciones que presenta todo conflicto, incluso anticiparse a estos. Asimismo, la
implementación de operaciones de inteligencia ha marcado la guerra, y el desarrollo de
ésta ha marcado la historia[118].
En el 3000 AC ya se encontraban las primeras muestras de la utilización de operaciones
de inteligencia. En Mesopotamia, cuando Sargon I de Acad controlaba un importante
territorio entre el Mediterráneo y el Golfo Pérsico, creó una red de “espías” utilizando
mercaderes que le informaban de las características de los territorios y las civilizaciones
que pretendía dominar[3].
En el Imperio chino se encontraba el primer tratado militar en el que se hacen
referencias al espionaje aplicado a la recolección de información para producir
inteligencia: el Arte de la guerra, de Sun Tzu, trata en alguno de sus pasajes sobre la
importancia que tiene el conocimiento y la información producto de la producción de
inteligencia antes de presentar batalla[2].
Revisando en el tiempo, desde la historia griega se puede observar cómo los habitantes
de esta sociedad utilizaban a la inteligencia, como también lo hacía el Imperio persa. Es en
este periodo cuando empiezan a desarrollarse sistemas de comunicaciones encubiertas y
cifrados de mensajes. Se daba de esta forma un paso más allá en los métodos empleados
hasta ahora, que no consisten más que en infiltrar exploradores en las filas enemigas para
recolectar información para luego analizarla, producir inteligencia y aplicarla a la toma de
decisiones estratégicas[4].
Otro claro ejemplo de los primeros usos de operaciones de inteligencia nace junto a la
escritura de la biblia entre el 900 antes de cristo y el 100 después de cristo, donde se
narra cuando Jacob envía a sus hijos a Egipto a explorar el territorio. Ellos son
descubiertos y acusados de “espías”[1].
Durante siglos y siglos, los países han producido inteligencia con el fin de formular
7
respuestas adecuadas en relación a las amenazas o riesgos que puedan afectar la
seguridad exterior e interior de la nación, como así también respecto de las actividades
criminales que por sus características puedan afectar derechos fundamentales de sus
habitantes. Previamente a la invención tecnológica, las operaciones de inteligencia se
limitaban a tareas de exploración y la utilización de esteganografía para la codificación
de mensajes. A finales de 1970 Estados Unidos lanzó por primera vez en la historia un
satélite para tareas de reconocimiento y recabado de información. Por otro lado, el
espionaje de la Unión Soviética descansó los satélites Yantar. Por lo tanto, estos fueron
el embrión de operaciones de inteligencia sobre el espacio y mejoradas en tecnología,
con sistemas de resolución avanzada para captar información. En la actualidad, el
ciberespacio forma parte de un dominio de la guerra como también lo son el agua, aire y
tierra (en otras palabras, marina, fuerza aérea, y ejército). La vida y los bienes de las
personas dependen cada vez más de los sistemas de información. Las infraestructuras
críticas de un país son objetivos estratégicos y pueden verse afectados durante cualquier
conflicto entre sociedades y países, pero la naturaleza abstracta, impredecible,
intangible e inmaterial del ciberespacio genera incertidumbre, por lo que puede hacer
que la derrota, la victoria y el daño de una batalla sean imposibles de calcular, y es por
esto que los encargados de la seguridad y tomadores de decisiones de hoy en día deben
entender y abordar esta nueva amenaza mundial y disponer de herramientas para
detectar de manera temprana cualquier comportamiento compatible con un
ciberataque[10]. Analizando un enfoque más detallado de ciber-agresiones en las cuales
la sociedad está inmersa, se comienzan a identificar desde el año 2007 distintas
agresiones de gran magnitud, cuyas características fundamentales y predominantes han
sido el daño causado por software a instalaciones físicas, como es el caso de la agresión
de Rusia a Estonia, el Banco Nacional de Giorgia [51]puesto en jaque por Rusia[53] y
la voladura de la planta de enriquecimiento de uranio – Irán[51][52]. Se verificaron
además numerosos casos de ciberespionaje, implicando el robo de secretos tecnológicos
muy relevantes de China a Estados Unidos, como también ciberespionaje de Estados
Unidos a China. Los efectos de las agresiones en el ciberespacio se fueron
incrementando por la escasa cantidad de recursos humanos, métodos, estrategias y
herramientas disponibles que posibiliten la detección temprana de ciberataques. El
crecimiento desmedido de Internet y la capacidad de acceder no solo al uso de
dispositivos, sino a la información detallada correspondiente a distintos organismos,
empresas y personas, hace aún más difícil la tarea de descubrimiento de actividades
poco deseables u orientadas a ciberdelitos. El ciberespacio puede ser controlado sólo con
personal capacitado, métodos, definición de estrategias y herramientas que lo
permitan, herramientas que hagan posible la detección de ciber-agresiones respetando
la privacidad de las personas. Existen numerosas herramientas desarrolladas de libre
acceso y uso o bajo licenciamiento. Estas herramientas permiten ser ejecutadas en
distintos dispositivos, en algunos con ciertas dificultades o incompatibilidad entre
distintos sistemas operativos. Las prestaciones que brinda cada herramienta tiene
funcionalidades genéricas y a veces insuficientes para cubrir las necesidades de los
8
distintos usuarios. Se observa también carencia de bases de datos o bases de
conocimiento compartidas, conteniendo histogramas representativos de flujos de red
correspondientes a distintos tipo de agresiones en el ciberespacio.
Una estrategia es un esquema desarrollado para intentar alcanzar los objetivos que se
han fijado. El objetivo de una estrategia defensiva en el contexto de la ciberseguridad es
garantizar el continuo funcionamiento de los sistemas. Este objetivo se convierteen un
fundamento básico que influye en el comportamiento global de los involucrados y debe ser
guiado por una política clara y completa, apoyada desde la dirección. Es importante tener
en cuenta que la victoria en una guerra a la defensiva consiste en anticiparse
sistemáticamente a los ataques del enemigo.
A pesar del esfuerzo que hacen los especialistas en ciberseguridad para implementar
variadas herramientas de seguridad en las infraestructuras, éstas son extremadamente
caras y no suficientes para protegerlas frente al cambiante panorama de ciber-amenazas
que podrían impactar en sus activos. Las soluciones tradicionales de seguridad se enfocan
principalmente en proteger el perímetro de interés, enfocándose así principalmente en las
amenazas externas. Sin embargo, estas evolucionan constantemente, lo cual requiere que
aquellos que deseen permanecer resilientes en sus operaciones deban mantenerse
informados y un paso más delante de los atacantes.
Para la definición de una estrategia defensiva de ciberseguridad se pueden emplear las
mismas variables que se tienen en cuenta en la doctrina de la inteligencia aplicada a la
seguridad nacional, en donde se presentan elementos de agresión similares a los analizados
en un ciberataque: sabotaje, hostigamiento a la víctima en su propio terreno, uso de
destacamentos irregulares con ataques rápidos y sorpresivos, clandestinidad, gran
movilidad, bloqueos temporales de los canales básicos de comunicación y provisiones y
secuestro/robo de activos.
Ante este nuevo contexto de ciberamenazas avanzadas, en las cuales están involucrados
grupos criminales y hacktivistas con intereses políticos y económicos, surge la motivación
de iniciar esta línea de investigación con el fin de llevar a cabo el desarrollo de una
estrategia de inteligencia o ciberinteligencia como elemento clave para reforzar la estrategia
de la seguridad de la información.
El objetivo general de esta tesis es abordar una reflexión sobre esquemas defensivos
estáticos para luego proponer nuevas técnicas que nacen en la doctrina de la inteligencia y
abordan la desigualdad entre las millones de amenazas de internet y objetivos específicos
definidos especialmente para combatirlas, aplicando nuevos métodos de operaciones.
Esta tesis estará conformada por seis secciones, en donde se comenzará en la primera
sección con una presentación completa y detallada de la tesis. Luego, en la segunda parte
se describirán conceptos esenciales de la ciberseguridad los cuales servirán de base para
comprender las siguientes temáticas a tocar. En la tercera parte se desarrollarán los
fundamentos de los Sistemas de Detección de Intrusos, Detección de Anomalías y
aplicaciones existentes a la Ciberseguridad —cimientos que se utilizarán para luego
desarrollar el caso de estudio de esta tesis—. La cuarta sección estará enriquecida con
conceptos e historia de la Inteligencia, su doctrina y su relación con la ciberseguridad,
9
teoría esencial para entender los principios de funcionamiento de Estrategia, Defensa y
Seguridad—columna vertebral de esta tesis—. En el quinto capítulo se presentará y
desarrollará la “Estrategia de Ciberseguridad distribuida, aplicando el concepto de
Operación de Inteligencia” propuesta en esta tesis, luegi en el capítulo 6 un caso de estudio
con el objetivo de validar la misma. Finalmente, en la ultima sección se presentarán las
conclusiones, trabajo a futuro, bibliografía y referencias.
1.3 Objetivos y Aportes
Gran cantidad de personas en el mundo han estudiado ciencias informáticas,
especializándose en seguridad de la información, ciberseguridad y ciberdefensa; no
obstante, actualmente muchos son responsables de sectores relacionados con estas áreas de
conocimiento en diferentes partes del mundo, incluyendo organismos gubernamentales,
fuerzas armadas y/o grandes organizaciones privadas ligadas directamente a la sociedad y
el estado. Sin embargo, de esta gran población, son contados los que han dedicado
realmente su tiempo a practicar y estudiar tácticas y estrategias de inteligencia; tal vez es
por esta razón la rareza de traer la seguridad de los sistemas de información para el campo
de la inteligencia y hacer uso de estas antiguas técnicas.
Esta línea de investigación y desarrollo tiene como objetivo general abordar una
reflexión sobre esquemas defensivos estáticos para luego proponer nuevas técnicas que
nacen en la doctrina de la inteligencia y abordan la desigualdad entre las millones de
amenazas de internet y objetivos específicos definidos especialmente para combatirlas,
aplicando nuevos métodos de operaciones.
Cualquier líder de una estrategia de inteligencia, conocido por las fuerzas desiguales de
la defensa no debe ser estático sino dinámico; observando y analizando al enemigo por
medio de la recolección de datos distribuida en el campo de observación, técnicas de
reunión, análisis de la información, intercambiando otros recursos por tiempo, y solo
cuando hay un alto grado de certeza, entonces responder. En el caso específico de una
operación de inteligencia, habrá un umbral por debajo del cual no se puede avanzar más,
esta línea se llama “etapa de difusión”, y llega a ella aplicando una estrategia para
garantizar la seguridad llamada “operación de inteligencia” y es lo que da lugar a esta
propuesta de tesis.
Entre los objetivos específicos de esta investigación se encuentran los siguientes:
● Aplicar tecnicas de operaciones de inteligencia a la ciberseguridad.
● Planificar y organizar la estrategia de seguridad defensiva aplicando operaciones de
inteligencia con la finalidad de transformar la “estática” actitud defensiva actual
por una innovadora y “dinámica”.
● Investigar, desarrollar e implementar componentes informáticos distribuidos en la
red para la reunión de información, con el fin de mantener eficientemente el cuadro
de situación de las amenazas tanto en la etapa de observación para el aprendizaje y
10
conocimiento del contexto hostil, como en el tiempo real del funcionamiento del
sistema.
● Desarrollar e implementar un sistema inteligente aplicando conceptos de minería
de datos y técnicas de aprendizaje automático que se nutren de la información
obtenida por los componentes informáticos nombrados en el objetivo anterior.
● Evaluar e Implementar un modelo de aprendizaje automático para comprobar la
propuesta de esta tesis.
● Converger en el despliegue de un sistema de detección temprana de patrones
anómalos en la red, con el objetivo de tomar decisiones anticipadas a la
materialización de una posible amenaza.
El aporte original de esta línea de investigación se basa prácticamente en la propuesta de
una estrategia de ciberseguridad aún no planteada formalmente ni estandarizada,
sustentada por el conocimiento de operaciones de inteligencia para la defensa, y aplicado a
un enfoque dinámico, para ante la existencia de un riesgo de amenaza, adelantarse a que
la misma se haga efectiva. De esta forma, cambiar el enfoque actual, dejando de lado el
antiguo concepto de defensa “amurallada”, por uno más innovador, en donde se infiltran
recolectores de informaciòn o “espías” en “terreno desconocido” o red externa para
extraer datos e información, aprender del contexto, analizar y detectar patrones, para
luego de forma temprana y en tiempo real, poder tomar decisiones defensivas, disuasivas u
ofensivas.
1.4 Estado del Arte
Hoy en día, existen muchos proyectos que pretenden abordar funcionalidades similares a
los de la propuesta de esta tésis, como por ejemplo la detección de ciberataques en tiempo
real, detección de patrones en base al estudio del comportamiento, utilización de
algoritmos de aprendizaje automatizado, realización de inteligencia de amenazas,
detección de amenazas de día cero, reducción de falsos positivos, detección y alerta de
amenazas en tiempo real, adaptamiento al comportamiento normal de la red de la
organización, detección de comportamiento anormal, y adaptación a las amenazas
cambiantes, de fácil configuración accesible para cualquiera, y simplearquitectura, con
posibilidad de escalar de acuerdo a la infraestructura asignada. Estos proyectos cuentan
con distinto tipo de evolución y se constituyen como proyectos, software, plataformas o
herramientas. Su disponibilidad depende del tipo de licenciamiento, dado que no todos
cuentan con versiones libres o con licencia académica para su evaluación. En ese sentido,
los proyectos que no permiten acceso libre son evaluados y considerados desde la
documentación disponible en el sitio web oficial del mismo.
Dicho esto, se describen a continuación algunas de las soluciones que se consideran
similares a la propuesta de esta tésis desde el punto de vista nombrado al principio de este
párrafo:
11
● Amplitude Behavioral Analytics, es un software de análisis de comportamiento que
permite realizar un seguimiento de la actividad del usuario a través de plataformas
y dispositivos que pretende obtener información fundamental para una visión
precisa de su comportamiento de usuario. Amplitude proporciona análisis basados
 en eventos que miden las acciones que realizan los usuarios dentro de su producto.
Un evento es cualquier acción distinta que puede realizar un usuario (como enviar
un mensaje o comprar un artículo), o cualquier actividad asociada con un usuario
(por ejemplo, recibir una notificación automática). Este software no está destinado
a la detección de ciberamenazas, sino que está orientado la inteligencia de negocio
negocio, donde se quiere conocer al usuario, para adaptarse y mantenerlo[5].
● FireEye Threat Analytics (TAP - Thread Analytics Platform), plataforma orientada
a la detección y a la investigación de incidentes y análisis de amenazas basada en la
nube. TAP proporciona visibilidad en toda la empresa, experiencia en detección
codificada y flujos de trabajo de investigación guiados para ampliar su defensa
contra los ciberataques más sofisticados de la actualidad. Esta plataforma está
especializada en el análisis y la investigación para la detección de
ciberamenazas[11].
● Munin, es un motor de detección de amenazas que aprovecha grandes volúmenes de
datos de ataques históricos limitado a detectar Amenazas Persistentes Avanzadas
(APT), pero también utiliza los datos en tiempo real de la organización para
construir un modelo sofisticado de comportamientos normal de la red. Este
enfoque de la seguridad cibernética basada en inteligencia artificial permite a
Muninn identificar y detener los ataques de día cero[12].
● C1fApp, es una aplicación open source de feed de amenazas (base de datos de
amenazas), que proporcionan un solo feed. Proporciona tableros de estadísticas,
API abierta para la búsqueda, útil y ejecutándose desde hace unos años. Las
búsquedas que permite realizar son en base a datos presentes en la base de datos
pertenecientes a históricos de amenazas[13].
● Cymon, es una herramienta de monitoreo cibernético disponible gratuitamente y
open source para tracear principalmente malware, botnets y phishing. Cymon ingiere
diariamente más de 60.000 eventos y 17.000 direcciones IP de casi 200 fuentes en
Internet para crear un perfil de amenaza y una línea de tiempo para direcciones IP,
dominios y URL. Cymon provee la posibilidad de investigar fuentes sospechosas de
ser maliciosas por medio del análisis de big data[14]. Esta herramienta se limita a la
detección de dominios maliciosos, detección de pentesting pasivo por medio del
análisis de logs en servidores Apache.
● REYES, es un sistema de alerta temprana desarrollado por InnoTec, ideado para
ofrecer un modelo de intercambio para distintas organizaciones que internamente
generan ciberinteligencia. REYES[129] aúna diferentes elementos de
ciberinteligencia, con información de fuentes propias y otras herramientas como
MARTA[130], LUCIA[131] y CARMEN[128], para dar una visión integradora a
12
todas las organizaciones que participan dentro de la red de monitorización del
CCN-CERT[33].
● Karma, es una herramienta de uso gratuito que permite a las organizaciones
verificar cómo son vistos sus activos de internet por las plataformas de inteligencia
de amenazas. Uno de los principales objetivos del proyecto es el de acercar
tecnologías complejas de seguridad a las empresas que no tienen los recursos como
para administrar soluciones complejas. Además de la Inteligencia de Amenazas,
Karma realiza varias verificaciones para detectar situaciones posiblemente
problemáticas, como configuraciones SSL inseguras, y fechas cercanas de
vencimientos, tanto de dominios como de certificados SSL [34].
● Yeti, es una plataforma destinada a organizar entidades y relaciones entre las
mismas, permite definir indicadores de compromiso, TTP (técnicas, tácticas y
procedimientos) y producir conocimiento sobre amenazas en un repositorio único y
unificado. Yeti también enriquece automáticamente las entidades (por ejemplo,
resolver dominios, geolocalizar direcciones IP) para que el usuario no tenga que
realizarlo de forma manual. Esta plataforma ofrece al usuario una herramienta de
análisis de inteligencia por medio de una interfaz gráfica para la construcción de
grafos de contacto. Yeti, está orientado a organizar la información de manera que
sea presentada lo mejor posible para la realización de análisis de inteligencia sobre
ciberamenazas[50].
En la tabla 1, se comparan las características identificadas como las más relevantes
entre las herramientas, plataformas y proyectos existentes y el framework propuesto en
esta tesis.
Proyecto o
Herramienta
Open source o
de uso libre
Detección de
patrones o
amenazas
Etapa del Ciclo de
Inteligencia
Amenazas a
detectar
Resiliencia y
Aprendizaje
automático
Amplitude
Behavioral
Analytics
No Detección de
patrones
Recolección, Análisis y
Difusión
Pérdida de
Clientes
Ambas
FireEye
Threat
Analytics
No Detección de
amenazas
Análisis y Difusión Anomalías en
general
Ambas
Munin No Detección de
amenazas
Recolección y Análisis APT Resiliencia
C1fApp Si Detección de
amenazas
Recolección, Análisis,
Difusión,
Retroalimentación
Dominios
maliciosos
Resiliencia
Cymon Si Detección de
amenazas
Recolección, Análisis y
Retroalimentación
Malware,
botnet y
phishing
Resiliencia
REYES No Detección de
amenazas
Análisis y Difusión APT, spam
botnet,
Resiliencia
13
Proyecto o
Herramienta
Open source o
de uso libre
Detección de
patrones o
amenazas
Etapa del Ciclo de
Inteligencia
Amenazas a
detectar
Resiliencia y
Aprendizaje
automático
malware.
Karma De uso libre Detección de
amenazas
Recolección, Análisis y
Difusión
Genérico Resiliencia
Yeti No Detección de
Amenazas
Análisis Genérico Resiliencia
Propuesta de
esta Tesis
Si Ambas Planificación,
Recolección, Análisis,
Difusión y
Retroalimentación
Adaptable a las
necesidades del
organismo
Ambas
Tabla 1: Tabla comparativa de características destacadas
Antecedentes registrados en los últimos años de ciberataques:
● Adobe reconoce que el ataque informático sufrido puede afectar a 38 millones de
usuarios: El ataque sufrido por Adobe fue el peor sufrido por la compañía, que ya
ha admitido que los datos de al menos 38 millones de usuarios fueron robados
además de códigos fuente de las principales aplicaciones de Adobe como Acrobat,
Reader o Photoshop [46].
● Un ataque informático afecta los servicios de Twitter, Spotify, Soundcloud y otros en
Estados Unidos: Es un ataque de denegación de servicio contra Dyn, un servidor de
DNS que hizo que estos servicios digitales quedarán inaccesibles para algunos
usuarios. Servicios como Twitter, Spotify, SoundCloud y Shopify, entre otros,
tuvieron problemas de funcionamiento por un ataque de denegación de servicio
(DDOS) contra Dyn, un proveedor de DNS en Estados Unidos. El ataque también
afectó al New York Times, Github, Reddit y Vox entre otros. No obstante, quienes
entraban desde fuera del país no tuvieron problemas para usar el servicio; sí afectó
a quienes intentaron acceder desde la costa este de Estados Unidos, o usar un
servicio con servidores en esa zona. La compañía logró mitigar el ataque y volver
todoslos servicios de Dyn a la normalidad por la mañana, pero pasado el mediodía
se reanudó el ataque, según la compañía, lo que volvió a afectar la disponibilidad
de esos servicios [45].
● Chrysler retira casi un millón y medio de coches vulnerables a ataques: La noticia
abarcó uno de los mayores temores que se ha hecho realidad: los coches pueden ser
atacados a distancia. Los expertos Charlie Miller y Chris Valasek encontraron un
fallo de seguridad en los sistemas Uconnect de Fiat Chrysler que los hace
vulnerables a ataques. No sólo demostraron que se podía acceder a mecanismos
como la radio o el limpiaparabrisas, sino que podían manipular incluso el sistema
de frenos. La compañía distribuyó un parche en su web para los conductores, y ha
proporcionado una actualización para algunos vehículos que bloquea el acceso
14
remoto no autorizado. Pero además, han retirado 1,4 millones de vehículos que
podrían estar afectados por esta vulnerabilidad de su sistema Uconnect[44].
● EEUU investiga un ataque informático contra varias empresas: El Gobierno
estadounidense investiga una “actividad maliciosa” de varios ataques de
denegación de servicio (DDoS) registrados contra los servidores de grandes
empresas estadounidenses de internet como Twitter, Spotify, Github o el diario The
New York Times. El incidente ocurrió a primera hora de la mañana en la costa este
y duró unas dos horas, en las que las empresas de gestión de servidores como Dyn y
Amazon Web Services intentaron contener los problemas de conexión con sus
direcciones de DNS. Twitter confirmó que su servicio se mantuvo inaccesible en
algunas partes del mundo durante dos horas “por fallos en la respuesta de
servidores DNS”, similar a los problemas que detectaron Zendesk, una empresa de
software de relación con clientes, o Github, el más popular repositorio de código y
colaboración en programación[43].
● Stuxnet - El virus que tomó control de mil máquinas y les ordenó autodestruirse: En
enero de 2010, los inspectores de la Agencia Internacional de Energía Atómica que
visitaban una planta nuclear en Natanz, Irán, notaron con desconcierto que las
centrifugadoras usadas para enriquecer uranio estaban fallando. Curiosamente, los
técnicos iraníes también parecían asombrados. El fenómeno se repitió cinco meses
después en el país, pero esta vez los expertos pudieron detectar la causa: un
malicioso virus informático[42].
● Ciberataques a Stonia desde Rusia: El ciberterrorismo, del que Estonia afirma haber
sido víctima por parte de Rusia, se desarrolla a nivel internacional pero los
Gobiernos no han estado muy activos para protegerse frente a esta amenaza
creciente, según los expertos. Estos ataques informáticos consisten en dejar sin
servicio las redes de internet de administraciones o empresas[41].
1.5 Temas de Investigación y Desarrollo
Para poder federar los conceptos de ciberseguridad e inteligencia, se realiza al principio
un análisis de la doctrina de inteligencia haciendo hincapié en las etapas incluidas en el
ciclo de vida de la inteligencia que pueden dar origen a esta área de conocimiento dentro
de la ciberseguridad. Al realizar este paso, surgen las ideas de asociación de conceptos que
se siguen en el transcurso del trabajo para poder aplicar tácticas originarias en la
operación de inteligencia a la ciberseguridad, dando como resultado los siguientes ítems
para la elaboración de esta investigación:
● Diseñar el esquema dinámico de ciberseguridad: acá queda definida la esencia de la
defensa planteada inicialmente. Para asociarla con la operación de inteligencia, un
esquema diseñado en etapas de operaciones, donde se realizan diferentes
15
procedimientos que convergen en la ganancia del factor tiempo para anticiparse a
la actividad enemiga.
● Entender la ciberseguridad contemporánea: como tarea primera a la presentación
de la propuesta, se cree necesario estudiar y describir la situación actual de la
ciberseguridad, exponiendo las principales debilidades que presentan los métodos
tradicionales de defensa.
● Obtener información de las amenazas: con el fin de tener conocimiento absoluto,
estado y situación actual del contexto, se recolectan datos e información por medio
de sensores distribuidos (Honeypots) desplegados en diferentes puntos estratégicos
de la red. Para lograr esto se debe analizar la viabilidad de desarrollar sensores
propios o utilizar ciertos existentes y adaptarlos al objetivo de esta tesis. También
se estandariza una interfaz de recepción de información de amenazas con el
objetivo de estar abierto a fuentes externas y potencialmente consumir datos de
soluciones multivendor.
● Analizar la información y detectar patrones: desarrollar un componente basado en
conocimiento experto para construir un sistema inteligente capaz de detectar
comportamientos anómalos y clasificarlos en tiempo real. Para llegar a este
objetivo, se deberá inicialmente analizar y estudiar los diferentes algoritmos
existentes y optar por uno o varios modelos e integrarlo en el desarrollo del sistema
de aprendizaje automático.
● Procesar volúmenes de información creciente: desarrollar un módulo de software
encargado de pre-procesar toda la información necesaria para el entrenamiento del
software de conocimiento experto.
● Planificar e implementar la estrategia de ciberseguridad aplicada a la doctrina de
inteligencia: la metodología de planificación, organización y seguimiento de una
operación de inteligencia se inicia por medio del denominado "Requerimiento de
información", que responde a una estructura que tiene en cuenta hasta los detalles
más significativos de toda la operación y lleva miles de años de aprendizaje y
mejora. En virtud de esta idea es que se desarrolle un requerimiento de
información ajustado a esta actividad de ciberseguridad como parte de la
investigación. Cada uno de estos puntos son los que se llevarán a cabo en el
desarrollo de la investigación, para evaluar la factibilidad de ejecutar una
operación de ciberinteligencia aplicada a la ciberseguridad denominada "Estrategia
de Ciberseguridad distribuida, aplicando el concepto de operación de inteligencia".
Para validar la propuesta, poner en práctica la estrategia y probar el funcionamiento,
se aborda el desarrollo e implementación de una arquitectura de sistemas que está
compuesta por diferentes componentes de software.
Por un lado se implementa la red de sensores (carnadas) “espías” encargados de la
recolección de información sobre la actividad de la red. Estos mismos tienen la propiedad
de simular comunicaciones convencionales entre sí y al mismo tiempo poder reportar en
tiempo real al sistema de conocimiento experto.
16
Por otro lado, se debe abordar el desarrollo de un prototipo de herramienta para
contribuir en la detección de comportamientos compatibles con ciberataques o de
ciberamenazas. Aquí entra en juego el procesamiento y análisis de la información,
invocando los diferentes algoritmos de aprendizaje automático, convergiendo así en un
sistema de conocimiento experto y su implementación en tiempo real.
También se deberán abordar los siguientes requerimientos:
● Observar el comportamiento de la herramienta bajo distintas situaciones de
ciberataques. Para lograr esto, se deberá realizar el desarrollo de un sistema de
alertas.
● Disponer de facilidad operativa y actualizable de la herramienta: Con mecanismos
de aprendizaje y entrenamiento a medida que se incrementa su uso.
● Observar gráficos de métricas: comparando los valores obtenidos provenientes de
los flujos de red donde se encuentre instalado el sistema de monitoreo.
● Identificar patrones de comportamientos: según las gráficas observadas, asociadas
con distintas etapas de ciberataques y clasificar las amenazas.
Como se planteó anteriormente, toda solución de seguridad va a estar atada a la
decisión estratégica a utilizar. No obstante, optar por tácticas y estratégias aplicadas a la
doctrina de inteligencia, aporta dinamismo y un gran valor agregado al momento de la
defensa.
Este trabajo de investigaciónadopta una metodología cualitativa para el desarrollo
desde cero de la arquitectura de seguridad junto a los componentes integrantes de la
misma, de forma tal de poder lograr dicha estrategia. Las medidas actuales de seguridad
no están a la altura de las polimórficas amenazas, por lo tanto se debe plantear una nueva
línea de pensamiento. Un ejemplo muy concreto de esto es Cloudflare[109], una
plataforma muy utilizada hoy en día por muchas grandes empresas, como domain name
service, content delivery network y firewall de aplicación. Esta plataforma permite bloquear
herramientas de escaneo o enumeración por medio de la detección de User-Agent presentes
en las requests, pero si la herramienta automatizada configura un User-Agent distinto, la
plataforma Cloudflare no detectará ni bloqueará esta actividad.
Se reitera que lo realmente crítico, es el absoluto desconocimiento del adversario en
cuanto a su ubicación, magnitud, recursos, comportamiento y capacidades, de lo que surge
el primer desbalance de fuerzas. Por otra parte, al estudiar las actividades de defensa y
seguridad en el transcurso de la historia, no se encuentran registros de alguna fortaleza
invulnerable. Dados estos dos aspectos, se propone analizar la ciberseguridad desde una
mirada del dinamismo e inteligencia, es decir dejando de lado la actual concepción de
defensa estática y centralizada materializadas en IDS, IPS, o Firewalls.
La doctrina de la inteligencia con su milenaria experiencia en recolección, análisis de
información y toma de decisiones, plantea un escenario de operaciones particular, en
donde toma protagonismo el motivo de esta investigación llamada "Estrategia de
Ciberseguridad aplicando el concepto de operación de inteligencia". Este procedimiento
justamente está pensado para contextos en los cuales la amenaza es superior a la víctima,
17
donde existe escasa información del mismo, y en virtud de este desequilibrio es por lo que
se planifica "ceder recursos por tiempo, para poder conocer las amenazas, adelantarse a los
hechos y tener una panorámica del contexto clara y definida".
1.6 Antecedentes de la Dirección y el Tesista
Patricia Bazán (Directora de la Tesis):
Es Analista de Computación y Licenciada en Informática graduada en la Universidad
Nacional de La Plata.
Es Doctora en Ciencias Informáticas graduada en la Facultad de Informática UNLP en
2015.
Es Magister en Redes de Datos graduada en la misma unidad académica en 2010,
desarrollando sus trabajos en los temas de Procesos de Negocio, Servicios Distribuidos y
metodologías para la integración de procesos y servicios.
Se desempeña como profesor titular de Desarrollo de Software en Sistemas Distribuidos
dentro de las carreras de grado de la Facultad de Informática de la UNLP y es docente e
integrante del comité académico de la Maestría en Redes de Datos de la misma casa de
estudios. Como docente de la maestría dicta la asignatura Sistemas Distribuidos.
Posee numerosas participaciones en congresos internacionales y trabajos publicados en
conferencias y congresos con referato nacional e internacional.
Actualmente integra el proyecto “Internet del Futuro: Ciudades Digitales Inclusivas,
Innovadoras y Sustentables, IoT, Ciberseguridad, Espacios de Aprendizaje del Futuro”
con un cargo de Profesor Titular con Dedicación Exclusiva. El proyecto se encuentra
enmarcado dentro del Programa de Incentivos a la Investigación del Ministerio de
Educación de la Nación, contando con la categoría III como docente-investigador del
mencionado programa.
Ha liderado proyectos en el ámbito privado conduciendo equipos de desarrollo de
software desde 1995 y también ha dirigido a estudiantes para la concreción de sus tesis de
grado en temas vinculados a BPM, SOA, composición de servicios y modelado orientado a
procesos y servicios.
Ha sido Consultor en proyectos financiados por el Banco Mundial y el BID.
Ha dirigido, y continúa haciéndolo, varias tesinas de grado y postgrado en la Facultad
de Informática de la UNLP.
Dirige becarios de investigación y de extensión dentro del LINTI (Laboratorio de
Investigación en Nuevas Tecnologías Informáticas) de la Facultad de Informática de la
UNLP.
18
Paula Venosa (Asesora Científica de la Tesis):
Es Magister en Redes de Datos, Licenciada en Informática y Analista de Computación
graduada en la Universidad Nacional de La Plata.
Es Profesora Adjunta con Dedicación exclusiva de la Facultad de Informática de la
UNLP, especialista en Redes y Seguridad de la información, área en la cual desarrolla sus
tareas de investigación y docencia tanto en grado como en postgrado, así como en
proyectos de transferencia y extensión.
Desde el año 2002 es docente de diversos cursos de postgrado en el marco de la Maestría en
Redes de Datos de la Facultad de Informática de la UNLP y del doctorado en Informática
de dicha casa de estudios.
Coordina y lleva adelante distintos proyectos relacionados a la seguridad, como
CERTUNLP (CSIRT Académico de la UNLP) y UNLP PKIGrid (Infraestructura de
clave pública para e-Ciencia de Argentina, representando a la UNLP en TAGPMA,
organización que acredita las PKIs de las Américas y es Chair del capítulo
Latinoamericano en ese marco).
Durante los últimos 15 años ha realizado diversos cursos y capacitaciones, tanto en el
ámbito público como privado. El enfoque de los mismos siempre ha sido la administración
de redes y la seguridad de la información.
Ha dirigido becarios, tesinas y trabajos de especialización en este campo de conocimiento.
Nicolás del Rio (Asesor Científico de la Tesis):
Es Analista de Computación graduado en la Universidad Nacional de La Plata.
Es Magister en Redes de Datos graduado en la misma unidad académica en 2016,
desarrollando sus trabajos en los temas de Diseño e Implementación de una solución de
administración de tráfico de red basada en DNS y chequeos de disponibilidad.
Se desempeña como profesor adjunto de las materias Introducción a los Sistemas
Operativos y Sistemas Operativos dentro de las carreras de grado de la Facultad de
Informática de la UNLP y Sistemas Distribuidos dentro de la Maestría en Redes de Datos
de la misma casa de estudios. Como docente de la maestría dicta también otros seminarios
de postgrado.
Durante los últimos 10 años ha realizado diversos cursos y capacitaciones, tanto en el
ámbito público como privado. El enfoque de los mismos siempre ha sido la administración
de sistemas, implementación de redes y configuración de dispositivos de seguridad,
obteniendo en algunos casos certificaciones internacionales.
Es responsable del diseño, administración e implementación de políticas de seguridad
en toda la red de datos de la Agencia de Recaudación de la Provincia de Buenos Aires y
aplica técnicas y tecnologías de última generación.
19
Ignacio Martín Gallardo Urbini (Tesista - Doctorando):
Es Analista en Sistemas, Licenciado en Sistemas e Ingeniero en Informática graduado
en la Universidad de Palermo.
Es Especialista en Criptografía y Seguridad en Teleinformática graduado de la
Facultad de Ingeniería del Ejército Argentino.
Es Especialista en Redes y Seguridad y Magister en Redes de Datos graduado de la
Universidad Nacional de La Plata.
Actualmente se encuentra redactando la tesis final de la Maestría en Ciberdefensa de la
Universidad de la Defensa Nacional, por otro lado se encuentra cursando la Maestría en
Gestion de Ciberseguridad de la Universidad Europea Miguel de Cervantes y la Escuela
Internacional de Postgrados, y también es doctorando del Doctorado en Ciencias
Informáticas en la Facultad de Informática de la Universidad Nacional de la Plata.
Durante los últimos 10 años ha orientado su carrera hacia un punto de convergencia
entre la Ciberseguridad, Desarrollo de Software y Telecomunicaciones por medio de la
realización de diferentes grados, postgrados, cursos de capacitación y experiencia laboral,
ocupando diferentes roles orientados a la investigación, desarrollo de software,
ciberseguridad y telecomunicaciones tanto en empresas privadas como en laboratoriosde
I+D del Ejército Argentino y en organizaciones gubernamentales para la defensa
Nacional.
Hasta la fecha, a realizado las siguientes publicaciones:
● 04/2017 WICC (XIX Workshop de Investigadores en Ciencias de la Computación):
Arquitectura de Seguridad por Capas en Sistemas Críticos. ISBN:
978-987-42-5143-5.
● 04/2019 WICC (XXI Workshop de Investigadores en Ciencias de la Computación):
Metodología para el Análisis de Incidentes de Ciberseguridad o Ciberataques
durante las acciones de Ciberdefensa de las Infraestructuras Críticas de la Defensa
Nacional. ISBN: 978-987-3619-27-4.
● 06/2019 RISTI (Revista Ibérica de Sistemas y Tecnologías de Información):
Arquitectura de Certificados Digitales: de una arquitectura jerárquica y
centralizada a una distribuida y descentralizada. ISSN: 1646-989. DOI:
10.17013/risti.32.49–66.
● 10/2019 CACIC (XXV Congreso Argentino de Ciencias de la Computación):
Análisis del anonimato aplicado a criptomonedas. ISBN: 978-987-688-377-1.
● 10/2019 CACIC (XXV Congreso Argentino de Ciencias de la Computación):
Detección de canales encubiertos en la capa de red. ISBN: 978-987-688-377-1.
● 07/10/2021 JCC-BD&ET2021 (9° Jornadas de Cloud Computing, Big Data &
Emerging Topics): Distributed Cybersecurity Strategy, applying Intelligence
Operation concept through data collection and analysis. ISBN: 978-950-34-2016-4.
● 25/06/2022 CISTI'22 (17° Conferencia Ibérica de Sistemas y Tecnologías de la
Información): Distributed Cybersecurity Strategy, applying Intelligence
Operations Theory. DOI: 10.23919/CISTI54924.2022.9820426.
20
Capítulo 2 - Ciberseguridad, Ciberdefensa y
Seguridad en Teleinformática
2.1 Introducción Histórica
Con el fin de combatir los delitos y movimientos laborales tan comunes, ya a principios
del siglo XX la seguridad comienza a identificarse como una de las funciones principales
de las organizaciones, promovida en 1919 por el teórico y pionero de la administración
Henry Fayol, luego de la técnica comercial, financiera, contable y directiva.
Al definir el objetivo de la seguridad, Fayol se refirió a: "salvaguardar activos contra el
robo, fuego, inundación, contrarrestar huelgas y traiciones por parte del personal, y de
forma amplia todos los disturbios sociales que puedan poner en peligro el progreso e
incluso la vida del negocio."
Las medidas de seguridad a las que se refería Fayol, no sólo se restringía exclusivamente
a los materiales físicos de la instalación, sino también al personal perteneciente a la
infraestructura de las organizaciones.
Los requerimientos de seguridad en las organizaciones han sufrido dos cambios
importantes en las últimas décadas. El primero surge con la introducción de las
computadoras, ya que la necesidad de herramientas automatizadas para la protección de
archivos y otra información almacenada se fue haciendo evidente. El segundo cambio
surge con la aparición de los sistemas distribuidos, así como el uso de redes e instalaciones
de comunicaciones para enviar información entre un servidor y una computadora o entre
dos computadoras. Aquí la seguridad deja de tratarse desde el punto de vista
computacional para abarcar también los aspectos de las telecomunicaciones.
Actualmente, la informática y las comunicaciones se encuentran en un grado tan alto
de integración que es muy difícil determinar con exactitud cuál es la frontera entre estas
disciplinas.
Las tecnologías usadas para abordar los problemas de comunicaciones y los de
informática son exactamente las mismas y cada vez tienen mayor capacidad no solo de
cómputo sino también de cambio. No solo la cantidad heterogénea de dispositivos que
integran las infraestructuras de acceso teleinformático se ha multiplicado
astronómicamente, sino también el tiempo en el que estos mismos se encuentran
conectados y transfiriendo grandes volúmenes de información entre sí. No obstante, para
que estas interacciones pudieran mantener los requerimientos de legitimidad ante la
presencia de severas amenazas, la ingeniería en seguridad también tuvo que dar un gran
giro.
21
Hoy en día, como bien ha sido nombrado en la introducción de esta tesis, la seguridad
es la primer responsabilidad de los estados en cualquiera de sus aspectos, donde desde el
principio de los tiempos ha sido principalmente administrada por el sector militar ya que
los principales riesgos acechaban de forma física a la integridad de la población. No
obstante, la aparición de nuevos riesgos de toda naturaleza ha provocado que muchos
gobiernos de nuestro entorno geopolítico estén llevando a cabo una profunda revisión y
transformación de sus políticas de defensa y seguridad[119].
Dicha transformación se somete a un cambio en el marco rector de la seguridad,
especialmente, por tres razones. Primero, la seguridad de los estados ya no está restringida
a la defensa de sus fronteras y su soberanía, sino que también debe garantizar el bienestar
de la sociedad frente a los nuevos riesgos. Segundo, la globalización fomenta riesgos y
amenazas transfronterizos, como la proliferación de sus políticas de armas de destrucción
masiva, el terrorismo, o el cibercriminalismo. Por último, la existencia actual de actores
de orígenes y motivaciones diversas con voluntad de desafiar el estado de derecho y el
orden internacional con capacidad de actuar en cualquiera de las dimensiones de la
seguridad, complica la atribución de las agresiones y disminuye la capacidad de respuesta
de los estados agredidos[119].
Este nuevo modelo de seguridad conlleva la necesidad de identificar anticipadamente
los riesgos, es decir, necesita evolucionar de la actual cultura reactiva a una de prevención
y resiliencia[119].
La globalización se manifiesta con la libertad de movimientos de personas, mercancías,
servicios y capitales proporcionando una evolución hacia la seguridad lineal donde ya no
aplica la separación entre la seguridad interior y exterior, entre la política de defensa y la
de interior y entre lo público y lo privado. Por lo tanto, la seguridad nacional ya no se
identifica con un tipo de defensa o seguridad, no es responsabilidad de un ministerio en
específico, ni se divide en un escenario exterior o interior, o con un enfoque preventivo o
reactivo, sino con todos ellos de forma omnicomprensiva[119].
La aparición del ciberespacio y el requerimiento de resguardarlo y asegurarlo, han
promovido que esta evolución en el modelo de la seguridad se haya apresurado[119].
22
2.2 Definición de Ciberespacio
El ciberespacio, se define como el conjunto de medios y procedimientos basados en las
tecnologías de información y comunicación configuradas para la prestación de servicios.
Este mismo, ya forma parte de la sociedad, economía, e incluso, puede llegar a ser factor
determinante de la evolución cultural. El ciberespacio está constituido por hardware,
software, servicios y sistemas de control que garantizan la provisión de aspectos esenciales
para la actividad socio-económica de cualquier país, y en especial aquellos ligados a sus
infraestructuras críticas[119].
Ilustración 1: Capas y Componentes del Ciberespacio
Como se aprecia en la Ilustración 1, la capa física abarca el componente geográfico y el
componente de las redes físicas. El primer componente está formado por el hardware e
infraestructura que soportan las redes y sus conectores físicos (cifradores, cableado,
switches, routers, computadoras, servidores, etc.). La capa lógica está formada por el
componente de redes lógicas que son ni más ni menos que los protocolos de comunicación
entre los nodos de las redes, entendiendo por nodo a cualquier dispositivo que está
conectado a las redes de comunicaciones y sistemas de información. Por último, la capa
social está formada por la relación entre los componentes interfaces y ciberidentidad,
donde el primero está formado por personas que interactúan con el ciberespacio. La
relación entre individuos y ciberidentidades puede ser de uno a muchos y de muchos a uno,
es decir, una persona puede disponer de una o más ciberidentidades y una ciberidentidadpuede ser utilizada por uno o más individuos. Estas ciberidentidades podrían ser legítimas
o suplantadas, lo que proporciona cierto anonimato en acciones ejecutadas en el
ciberespacio, haciendo esto más difícil relacionar de manera unívoca a una ciberidentidad
con una persona. Las ciberidentidades están constituidas, entre otros, por cuentas de
correo electrónico, cuentas de usuarios o perfiles en redes[119].
23
2.3 Definición de Seguridad en Teleinformática
La seguridad en teleinformática se define como el área de conocimiento relacionada con
la informática y la telemática que se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta y, especialmente, la información contenida
en un sistema informático o circulante a través de las redes de computadoras[48].
El objetivo primordial de la seguridad en teleinformática prevalece en el establecimiento
de normas que disipen potenciales riesgos y eviten posibles amenazas a la información o
infraestructura informática.
Puesto que el propósito de los sistemas teleinformáticos no es otro que almacenar,
procesar y transmitir información, consideramos entonces que un sistema teleinformático
es seguro si maneja de forma correcta la información. Cabría entonces preguntarse cuáles
son las condiciones que debe cumplir la información para que podamos determinar su
calidad y para, en un paso posterior, determinar qué se podría hacer para garantizarla.
Los sistemas teleinformáticos generalmente incorporan medidas para garantizar cierto
grado de seguridad en diferentes niveles.
2.4 Definición de Ciberseguridad
Años atrás, la ciberseguridad se enfocaba en la protección de la información, donde
solamente se trataba de proteger accesos, usos, revelaciones, interrupciones,
modificaciones o destrucciones no autorizadas. Hoy en día, esta mirada ha evolucionado
hacia la gestión de riesgos del ciberespacio, donde la ciberseguridad consiste en la
aplicación de un proceso de análisis y gestión de los riesgos relacionados con el uso,
procesamiento, almacenamiento y transmisión de información a datos y los sistemas y
procesos usados basándose en los estándares internacionales[119].
Una de las principales razones para este nuevo enfoque es la caracterización del
ciberespacio de una determinada entidad como una aplicación que brinda servicios, de
forma que la seguridad de la misma se logra cuando la aplicación se encuentra en un
estado de riesgo conocido y controlado[120].
La ciberseguridad de una nación requiere al menos plantear dos dimensiones. La
primera, cubre la protección de bienes, servicios, libertades, activos y derechos
dependientes de la jurisdicción estatal. La segunda dimensión, tiene que ver con la
responsabilidad compartida con otros estados, bilateralmente o a través de organismos
reguladores de la ciberseguridad. La dificultad principal estriba en lograr que la
agregación de soluciones parciales aplicadas por los estados, aunque se haga de forma
coordinada, resuelva los problemas globales creados por unas tecnologías que derriban
fronteras. El ciberespacio está en continuo crecimiento y evoluciona cada vez de forma
más acelerada, alcanzando una permeabilidad tal que permite mantener las relaciones y
dependencias económicas, sociales y culturales, que son esenciales para el crecimiento y
24
https://es.wikipedia.org/wiki/Inform%C3%A1tica
https://es.wikipedia.org/wiki/Telem%C3%A1tica
https://es.wikipedia.org/wiki/Informaci%C3%B3n
https://es.wikipedia.org/wiki/Inform%C3%A1tica
desarrollo de un país. En conclusión, la ciberseguridad debe formularse proactivamente
como un proceso continuo de análisis y gestión de los riesgos asociados al
ciberespacio[119].
2.5 Definición de Ciberdefensa
Dada esta creciente dependencia del ciberespacio, la fortificación de su infraestructura,
la ciberseguridad de sus componentes lógicos, las interacciones que presentan con los
humanos, y toda la adecuada gestión de riesgos que esto acarrea, se ha transformado en
una de las más importantes preocupaciones contemporáneas con una prioridad a nivel
global.
Infraestructuras críticas que abarcan desde servicios básicos, industrias, transportes,
administración de la defensa nacional y el estado, entre muchas más, son susceptibles a ser
atacadas en el ciberespacio, amenazando así la estabilidad, seguridad y soberanía de los
países de diferentes formas.
El ámbito de la defensa nacional, hoy considera al ciberespacio como un nuevo
ambiente en el que se desenvuelven conflictos de diversas naturalezas, nacionales e
internacionales, por lo que esto se traduce en la definición del ciberespacio como una
dimensión diferente al espacio terrestre, aéreo y marítimo, que requiere contar con las
políticas, planificaciones y capacidades que permitan ejercer los roles propios de la defensa
nacional bajo este contexto. Esto lleva a que las Fuerzas Armadas y el Ministerio de
Defensa de los países den una respuesta global e integral a este importante desafío,
coordinando con los actores que operan el ciberespacio y en el espectro electromagnético,
las operaciones militares en el ámbito del ciberespacio y su integración con el resto de las
capacidades operativas, así como su estructura de mando y control, el marco legal de
actuación y la imprescindible integración con el resto de actores civiles y militares a nivel
nacional e internacional; todo ello para orientar el desarrollo de las capacidades necesarias
para enfrentar la amenaza del hoy y del mañana.
La ciberdefensa entonces se define como el conjunto de acciones y/u operaciones activas
o pasivas desarrolladas en el ámbito de las redes, sistemas, equipos, enlaces y personal de
los recursos teleinformáticos de la defensa a fin de asegurar el cumplimiento de las
misiones o servicios para los que fueran concebidos[114], y a la vez que se impida que
fuerzas enemigas los utilicen para cumplir los suyos.
Así mismo, la ciberdefensa del ciberespacio, va de la mano con las capacidades de
responder fuera de las propias infraestructuras o sistemas que se defienden, dónde esta
respuesta que podría ser inmediata, mediata o planificada, es ejecutada por las Fuerzas
Armadas.
En el caso de la República Argentina, es el Comando Conjunto de Ciberdefensa del
Estado Mayor Conjunto de las Fuerzas Armadas[46] coordinado con el Centro Nacional de
Ciberdefensa del Ministerio de Defensa[47], el organismo que se encargan de garantizar un
acceso libre al ciberespacio y dar una respuesta ante amenazas o agresiones que puedan
25
afectar a la Defensa Nacional. También obran para garantizar la disponibilidad,
integridad y confidencialidad de la información y en la cooperación en materia de
Ciberdefensa a nivel Internacional. Esta actividad actualmente se encuentra regulada por
las Leyes de Defensa Nacional[55], de Seguridad Interior[56], de Reestructuración de las
Fuerzas Armadas[57] y la ley de Inteligencia Nacional[58].
2.6 Problemas de los Sistemas Teleinformáticos
Cualquier situación en la vida está sujeta a la ocurrencia de situaciones no deseadas. En
particular todos los sistemas informáticos están sujetos a la posibilidad de experimentar
un funcionamiento anómalo, ya sea de manera accidental o provocada.
Para identificar estas situaciones, se definirán ciertos términos a modo de proporcionar
facilidad en el entendimiento de dichos fallos en el funcionamiento deseado:
● Daño: perjuicio que se produce cuando un sistema informático falla.
● Ataque: acto deliberado de intentar provocar un daño.
● Riesgo: producto entre la magnitud de un daño y la probabilidad de ocurrencia del
mismo.
● Amenaza: situación de daño cuyo riesgo de producirse es significativo.
● Vulnerabilidad: deficiencia de un sistema totalmente susceptible de producir un
fallo en el mismo.
● Exploit: técnica que permite el aprovechamiento de una vulnerabilidad.
Los objetivos de los ataques informáticos se clasifican en tres grandes grupos:
● Sector Privado. Dentro del mismo se incluyen a los encargados de las
infraestructuras críticas.
● Ciudadanos.
●Gobiernos.
2.7 Amenazas a la Seguridad
No sólo las amenazas que surgen de la programación y el funcionamiento de un
dispositivo de almacenamiento, transmisión o procesamiento deben ser consideradas,
también hay otras circunstancias no informáticas que deben ser tomadas en cuenta.
Muchas son, a menudo, imprevisibles o inevitables y estas pueden ser causadas por:
● Usuarios: causa del mayor problema ligado a la seguridad de un sistema
informático. En algunos casos sus acciones causan problemas de seguridad, si bien
en la mayoría de los casos es porque tienen permisos sobredimensionados o no se les
han restringido acciones innecesarias, por ejemplo.
● Programas maliciosos o Malware: programas destinados a perjudicar o hacer un
uso indebido de los recursos del sistema. Se instalan en el ordenador, abriendo una
26
puerta a intrusos o bien modificando los datos. Estos programas pueden ser un
virus informático, un gusano informático, un troyano, una bomba lógica, un
programa espía o spyware, en general conocidos como malware.
● Errores de programación: la actualización de versiones, buenas prácticas en el
desarrollo, aplicación de metodologías de desarrollo seguro de software y ajustes en
configuración de los sistemas operativos y aplicaciones permite evitar este tipo de
amenazas.
● Intrusos: personas que consiguen acceder a los datos o programas a los cuales no
están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers).
● Siniestros (robo, incendio, inundación): una mala manipulación o mala intención
derivan en la pérdida del material o de los archivos.
● Personal técnico interno: técnicos de sistemas, administradores de bases de datos,
técnicos de desarrollo. Los motivos de amenaza que se encuentran entre los
habituales son: disputas internas, problemas laborales, despidos, fines lucrativos,
espionaje.
● Fallos electrónicos o lógicos de los sistemas informáticos en general.
● Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos.
El hecho de conectar una red a un entorno externo da la posibilidad de que algún
atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de la red.
Sin embargo, el hecho de que la red no esté conectada a un entorno externo, como
Internet, no garantiza la seguridad de la misma. De acuerdo con el Computer Security
Institute (CSI, por sus siglas en inglés) de San Francisco, aproximadamente entre el 60 y 80
por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el
origen del ataque se puede decir que existen dos tipos de amenazas:
● Amenazas internas: generalmente estas amenazas pueden ser más serias que las
externas, por varias razones como:
● Si es por usuarios o personal técnico, conocen la red y saben cómo es su
funcionamiento, ubicación de la información, datos de interés, entre otros.
Además tienen algún nivel de acceso a la red por las mismas necesidades de
su trabajo, lo que les permite mínimos movimientos.
● Los sistemas de prevención de intrusos o IPS (por sus siglas en inglés
intrusion protection system) y firewalls son mecanismos no efectivos en
amenazas internas por no estar, habitualmente, orientados al tráfico
interno. Que el ataque sea interno no tiene que ser exclusivamente por
personas ajenas a la red, podría ser por vulnerabilidades que permiten
acceder a la red directamente: rosetas accesibles, redes inalámbricas
desprotegidas, equipos sin vigilancia.
● Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no
tener información certera de la red, un atacante tiene que realizar ciertos pasos
para poder conocer qué es lo que hay en ella y buscar la manera de atacar. La
27
https://es.wikipedia.org/wiki/Virus_inform%C3%A1tico
https://es.wikipedia.org/wiki/Gusano_inform%C3%A1tico
https://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)
https://es.wikipedia.org/wiki/Bomba_l%C3%B3gica
https://es.wikipedia.org/wiki/Spyware
https://es.wikipedia.org/wiki/Malware
https://es.wikipedia.org/wiki/Cracker
https://es.wikipedia.org/wiki/Defacer
https://es.wikipedia.org/wiki/Hacker
https://es.wikipedia.org/wiki/Robo
https://es.wikipedia.org/wiki/Incendio
https://es.wikipedia.org/wiki/Inundaci%C3%B3n
https://es.wikipedia.org/wiki/Espionaje
https://es.wikipedia.org/wiki/Rayo
https://es.wikipedia.org/wiki/Terremoto
https://es.wikipedia.org/wiki/Inundaci%C3%B3n
https://es.wikipedia.org/wiki/Rayos_c%C3%B3smicos
https://es.wikipedia.org/wiki/Internet
https://es.wikipedia.org/w/index.php?title=Computer_Security_Institute&action=edit&redlink=1
https://es.wikipedia.org/w/index.php?title=Computer_Security_Institute&action=edit&redlink=1
https://es.wikipedia.org/wiki/Informaci%C3%B3n
https://es.wikipedia.org/wiki/Sistema_de_Prevenci%C3%B3n_de_Intrusos
ventaja que se tiene en este caso es que el administrador de la red puede prevenir
una buena parte de los ataques externos.
El tipo de amenazas según el efecto que causan a quien recibe los ataques podría
clasificarse en:
● Espionaje. Abarcando desde espionaje de estado hasta espionaje industrial.
● Robo y publicación de información clasificada o sensible.
● Robo y publicación de datos personales.
● Amenazas persistentes avanzadas (APT, por sus siglas en inglés advanced persistent
threat).
● Destrucción de información.
● Suplantación de la identidad, publicidad de datos personales o confidenciales,
cambio de información, venta de datos personales, entre otros.
● Robo de dinero, estafas.
● Anulación del funcionamiento de los sistemas o efectos que tiendan a ello, que
pueden incluir ataques a infraestructuras críticas, contra redes y sistemas, contra
servicios de internet, sistemas de control y redes industriales.
Se pueden clasificar por el modus operandi del atacante - si bien el efecto puede ser
distinto para un mismo tipo de ataque:
● Virus informático: malware que tiene por objeto alterar el normal funcionamiento
de la computadora, sin el permiso o el conocimiento del usuario. Los virus,
habitualmente, reemplazan archivos ejecutables por otros infectados con el código
de este. Los virus pueden destruir, de manera intencionada, los datos almacenados
en una computadora, aunque también existen otros más inofensivos, que solo se
caracterizan por ser molestos.
● Phishing: suplantación de identidad (describir someramente).
● Ingeniería social (describir someramente).
● Denegación de servicio (describir someramente).
● Spoofing: de ARP, DNS, IP, DHCP, (aclarar siglas o poner nota al pie).
2.8 Autoría de un Atentado en el Ciberespacio
Los ataques dentro de la jurisdicción del ciberespacio pueden ser clasificados en función
de su impacto y autoría[119]:
● Ciberataques patrocinados por el estado: los conflictos del mundo físico (aire, tierra
o mar) tienen su continuación en el mundo digital del ciberespacio. En estos
tiempos se han detectado ciberataques contra las infraestructuras críticas de países
o contra objetivos bastante específicos, pero iguales de estratégicos. Un ejemplo ya
anteriormente nombrado y muy conocidos como el ciberataque a Estonia en el
28
https://es.wikipedia.org/wiki/Publicidad
https://es.wikipedia.org/wiki/Dinero
https://es.wikipedia.org/wiki/Malware
https://es.wikipedia.org/wiki/Computadora
https://es.wikipedia.org/wiki/C%C3%B3digo_objeto
https://es.wikipedia.org/wiki/Datos
https://es.wikipedia.org/wiki/Computadora
2007 que afectó al funcionamiento de infraestructuras críticas del país, o el
ciberataque a Georgia en 2008, entre otros[119].
● Ataques patrocinados por organizaciones privadas: muchas organizaciones
privadas tienen, como objetivo del ataque, los secretos industriales de otras
organizaciones o gobiernos. Este tipo de ataques, en muchas ocasiones, se ejecutan
con el apoyo gubernamental haciendo uso igualmente de Amenazas Persistentes
Avanzadas[119].
● Terrorismo, extremismo político e ideológico: los terroristas y grupos extremistas
utilizan el ciberespacio para planificar sus acciones, publicitalas y reclutar adeptos
para ejecutarlas. Estos grupos ya hanreconocido la importancia estratégica y
táctica del ciberespacio para sus intereses. Las redes sociales y los foros se han
convertido en el principal instrumento utilizado por los terroristas[119].
● Ataques del crimen organizado: las bandas del crimen organizado (ciber-gangs) han
comenzado a trasladar sus acciones al ciberespacio, explotando las posibilidades de
anonimato que éste ofrece. Este tipo de bandas tienen, como objetivo del ataque, la
obtención de información sensible para su posterior uso fraudulento y consecución
de grandes beneficios económicos[119].
● Hacktivismo: durante 2011, el hacktivismo se ha convertido en una de las mayores
amenazas para los gobiernos y organismos. Este movimiento tiene como principios
el anonimato y la libre distribución de información a través del ciberespacio,
esencialmente a través de Internet. Los hacktivistas se agrupan de manera
descentralizada utilizando el underground de Internet para comunicarse y
planificar sus acciones. Entre estos grupos se encuentran Anonymous o Lulzsec,
pero no son los únicos. Su misión es ‘atacar’ el ciberespacio que represente a
personas, empresas u organizaciones que atente contra alguno de sus principios o
intereses. Tanto es así que el ciberespacio de los gobiernos de la mayoría de los
países del mundo, bancos, empresas de telecomunicaciones, proveedores de
infraestructuras críticas, proveedores de servicios de Internet y en definitiva todo el
ciberespacio es susceptible de recibir ataques de denegación de servicios o ser
hackeados con el objetivo principal de robar información sensible que
posteriormente será distribuida en Internet para libre acceso[119].
● Ataques de perfil bajo: este tipo de ataques son ejecutados, normalmente, por
personas con ciertos conocimientos en TIC (por sus siglas en inglés, Technology and
Information Communications) que les permiten llevar a cabo ciberataques de
naturaleza muy heterogénea y por motivación, fundamentalmente, personal[119].
● Ataques de personal con accesos privilegiados: este grupo supone una de las
mayores amenazas para la seguridad del ciberespacio de las naciones y empresas ya
que suelen ser parte integrante de todos los ataques arriba expuestos. Desde un
espía infiltrado por un estado, a un empleado captado por bandas de terroristas o
cibercriminales pasando por un empleado descontento, todos ellos pueden ser
considerados intrusos[119].
29
2.9 Bases de la Seguridad
Hablar de seguridad teleinformática en términos absolutos es imposible y por ese
motivo se habla más bien de fiabilidad del sistema que, en realidad es una relajación del
primer término.
Definimos la fiabilidad como la probabilidad de que un sistema se comporte tal y como
se espera de él. En general, un sistema será seguro o fiable si podemos garantizar cinco
aspectos[121]:
● Confidencialidad: acceso a la información solo mediante autorización y de forma
controlada.
● Integridad: modificación de la información solo mediante autorización.
● Disponibilidad: la información del sistema debe permanecer accesible mediante
autorización.
● Autenticación o Autentificación: propiedad que permite identificar el generador y
origen de la información.
● No repudio o irrefutabilidad: la información se garantiza tanto que sale de origen
como que llega a destino.
Existe otra propiedad de los sistemas que es la confiabilidad, entendida como el nivel de
calidad del servicio que se ofrece. Pero esta propiedad, que hace referencia a la
disponibilidad, estaría al mismo nivel que la seguridad. En este caso mantenemos la
disponibilidad como un aspecto de la seguridad[49].
2.10 Procedimientos de Seguridad en Sistemas Teleinformáticos
Los procedimientos de seguridad son técnicas que se utilizan para implementar un
servicio de seguridad, es decir, aquel mecanismo que está diseñado para detectar, prevenir
o recuperarse de un ataque de seguridad[48]; dicho de otra manera, para cumplir con los
cinco aspectos que garantizan que un sistema sea seguro o fiable. Los mismos son:
● Encriptación: proporciona confidencialidad de la información y se lleva a cabo por
medio de la criptografía simétrica y/o asimétrica.
● Firma digital: se lleva a cabo por medio de la criptografía asimétrica y asegura la
integridad, no repudio y autenticidad del mensaje.
● Control de acceso: garantiza la autenticación y autorización. Utiliza la identidad
autenticada para determinar y aplicar los derechos de acceso correspondientes a la
misma, de forma que si la entidad intenta acceder a un recurso no autorizado, este
mecanismo rechazará dicha acción.
● Redundancia: provee disponibilidad tanto de la información como de los servicios
en caso de compromiso de los mismos.
30
2.11 Vulnerabilidad
Según Common Vulnerabilities and Exposures (CVE), una vulnerabilidad es una
debilidad en el código de software o hardware que puede afectar la confidencialidad,
integridad o disponibilidad de un sistema, cuando esta misma es explotada. Algunos
ejemplos podrían ser los ataques de denegación de servicios, acceso no autorizado, entre
otros. Esto difiere de una exposición, que es un problema de configuración o software que
puede usarse como un trampolín hacia el sistema. Por lo tanto, una exposición no permite
el compromiso directo de un sistema, pero puede ser un componente importante de un
ataque, por ejemplo, un estado que permite recopilar información de actividades
maliciosas o esconder actividades maliciosas.
OWASP (Open Web Application Security Project), por otro lado, define el término
“vulnerabilidad” de manera más vaga para incluir cualquier debilidad que pueda causar
daño a las partes interesadas y el Top Ten ranking de OWASP incluye tanto
vulnerabilidades directas como exposiciones indirectas.
Según Bilge y Dumitras, el ciclo de vida de una vulnerabilidad cuenta con seis etapas:
● Vulnerabilidad introducida
● Explotación lanzada en todo el mundo
● Vulnerabilidad revelada al público
● Vulnerabilidad descubierta por el proveedor
● Firmas de antivirus y detectores de intrusión publicadas
● Implementación de parches
Las vulnerabilidades de un software pueden variar desde errores de implementación
local hasta fallas del diseño a nivel superior. La diferencia es la cantidad de código que se
debe considerar para divulgarlo. Los errores más simples, como las llamadas a sistema
inseguras, viven en una línea de código aislada y pueden detectarse con un análisis léxico.
Otras vulnerabilidades dependen del comportamiento de varias funciones, y estas
pertenecen a un rango medio de errores. Al más alto nivel, están las fallas lógicas en el
diseño, y estos errores requieren una gran experiencia y conocimiento para detectarlos,
por lo que se debe considerar cómo funcionan juntos varios componentes. Las fallas de
diseño ocurren en la fase de diseño del desarrollo de software, mientras que las fallas de
implementación, ocurren en la fase de codificación del mismo. McGraw compara la
construcción segura de software con la construcción de una casa. El tipo de ladrillo que se
utiliza es importante, pero es aún más importante que la casa esté diseñada para tener
cuatro paredes y un techo. En el pasado, la seguridad del software ha prestado mucha más
atención a los ladrillos que a las paredes. El ranking Top Ten de vulnerabilidades expuesto
por OWASP puede ocurrir tanto en la fase de diseño como en la fase de implementación.
31
2.12 OWASP Top Ten
Este ranking es un documento de conocimiento estándar compartido públicamente
para desarrolladores de aplicaciones Web. Esta lista contiene las diez vulnerabilidades de
seguridad de aplicaciones web más críticas según la fundación, y es desarrollada por
expertos en seguridad en aplicaciones web en todo el mundo pretendiendo actualizarse
cada tres años. Su objetivo es educar a las empresas y desarrolladores sobre cómo
minimizar los riesgos de la seguridad de las aplicaciones. La última actualización de la lista
se publicó en el 2021, mientras que la actualización anterior fue en el 2017.
Los diez principales riesgos de la